EUにおけるサイバーセキュリティガバナンスは、NIS2やDORAといった規制フレームワークの拡大によって大きな転換点を迎えています。さらにAIは、セキュリティチームに新たな課題を突きつけています。今後の展開を予測することは容易ではなく、組織はその変化に対応する方法を模索しています。
Spanのガバナンス・リスク・コンプライアンス部門マネージャーであるAntonija Vojnovićは、Span Cyber Security ArenaカンファレンスにおいてHelp Net Securityの取材に応じ、これらの規制フレームワークがコンプライアンスの優先事項や日々の意思決定にどのような影響を与えているかについて語りました。
組織を悩ますコンプライアンスの過負荷
EU域内の企業は増加する規制への対応に追われており、フレームワーク間で重複する領域がある一方、相違点も存在しています。
「何が誰に適用され、その理由は何かを正確に説明できる人は多くありません。たとえばGDPRとNIS2は対象とするデータの種類が異なりますが、本来は互いに補完し合うべきものです」とVojnovićは述べています。
多くの組織が、コンプライアンス対応をどこから始めれば良いのか、またどのように優先順位をつければ良いのかを把握できていない状況です。
NIS2はEU指令であるため、各加盟国が国内法として制定する必要があり、その実施状況は国によって異なっています。
「クロアチアでは関連法が整備されています。スロベニアも法整備は済んでいますが、形式は異なります。」
VojnovićによればNIS2の目的は、EUレベルでのサイバーセキュリティ意識の向上と基準の統一にありますが、各国の成熟度はまだ揃っていません。それぞれの国や企業が適応するまでに必要な時間は異なります。
クロアチアでは、初回の監査が実施されるまで待機している組織がまだ多く、実際の執行方法や制裁の内容、また初期の調査結果を受けて変更が生じるかどうかについて、理解が進んでいない状況だと彼女は指摘しています。
また、指令の対象となる組織の範囲を含め、実施内容やスコープに関する不透明さが依然として残っていると付け加えています。
複数規制の同時進行がもたらす圧力
増え続ける規制が最終的に役立つかどうかという問いに対し、Vojnovićは「規制自体は有益ですが、あまりにも多くのものが同時に導入されすぎています」と述べています。
彼女はNIS2、DORA、AIアクトを例として挙げており、これらが並行して施行されることで、対応しようとする組織に大きな負担がかかっていると指摘しています。
彼女が提案するのは、まず一つの規制を導入し、実際の運用状況を見極めてから、追加措置を積み上げていくアプローチです。
Vojnovićは、変更の量が多すぎるために組織が圧倒され、何を優先すべきかが分からなくなっていると述べています。
Censuswidの調査によれば、EMEA地域の金融サービス組織の96%が、DORAの規制要件を満たすうえで必要なレベルにデータレジリエンスが達していないと回答しています。
AIセキュリティと規制上の対応
AIへの熱狂はあらゆる分野で見られ、EUも例外ではありません。欧州におけるAI支出は2029年までに2,900億ドルに達すると予測されており、年間33.7%の成長が見込まれています。
こうした成長とともに、AIシステムの悪用リスクや実世界での応用を管理することの難しさへの懸念も高まっています。EUはAIアクトを通じて対応し、AIの開発・利用に関するルールを定めています。
欧州電気通信標準化機構(ETSI)もEN 304 223を公表しており、運用中のAIシステムに対するサイバーセキュリティの基本要件に焦点を当てたこの標準は、AIを独自のセキュリティカテゴリとして位置づけ、システム固有のリスクに注目しています。
VojnovićはAIを規制することは可能だと考えていますが、それはAIの使用方法や悪意ある目的への悪用可能性によって左右されると述べています。また、EUのAIアクトが大きな変化をもたらすかについては懐疑的です。
「最終的には、意識の向上こそが最も価値あるものになるかもしれません。AIツールはプライベートな情報をトレーニング目的に使用する可能性があること、そしてこれらのツールは責任を持って使用すべきであることを、人々は理解する必要があります。」
Vojnovićはさらに、AIは有用なツールである一方、あらゆる場面に適しているわけではないと述べています。プライベートな情報を入力したり何でもAIに依存したりすることなく、価値を発揮できる場面で活用すべきだと強調しています。
